「サプライチェーン攻撃」とは何か? 弱点を発見する方法は? どう対策すべきか?:日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(1)
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
日本ハッカー協会 代表理事 杉浦隆幸氏2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、日本ハッカー協会 代表理事の杉浦隆幸氏が「サプライチェーン攻撃の実態」をテーマに講演した。これまでもITセキュリティにおけるさまざまな実績に加え、自動車やIoT、果てはドローンをハッキングするなど多岐にわたって活動する“ハッカー”の視点から、今、各所で話題に上がる「サプライチェーン攻撃」に対する解像度を上げるためのヒントを語った。
本稿では、「サプライチェーン攻撃」という言葉が示すものの本質、そしてその対策をレポートする。
そもそも、サプライチェーン攻撃とは?
杉浦氏はまず、「サプライチェーン攻撃」の指すものを定義する。サプライチェーン攻撃とは「サプライチェーンの脆弱(ぜいじゃく)な部分を標的にして、組織に損害を与えようとするサイバー攻撃」のことだが、言葉として使われる際、幾つかの意味を持つことがある。
1つは「サプライヤーが攻撃を受けて影響が出る」といったもの。これは例えば、石油関連施設がサイバー攻撃を受け、その結果として価格が上昇、経営を圧迫するといったものだ。もう1つ、「主にITの世界で語られる『ソフトウェアサプライチェーン』に侵入され、最終製品やサービスに影響が出る」といったものがある。これは例えば製品が利用するライブラリなどが狙われ、完成したソフトウェアにバックドアが組み込まれるようなものを指す。最近ではSBOM(Software Bill Of Materials:ソフトウェア部品表)によって管理することが、その対策として語られることが増えてきた。これらは別物ながら、同じ「サプライチェーン攻撃」という言葉でまとめられることが多い。
加えて、杉浦氏は「日本型サプライチェーン攻撃」というものを解説する。これは、少数のサプライヤーがサイバー攻撃を受け、その結果、事業全体が停止してしまうものを指すが、特に標的を決めて攻撃されるタイプのものではなく、「弱いところを狙う攻撃が偶然当たってしまい、そこから侵入した場所がどこかのサプライヤーだった、というだけの攻撃だ」と杉浦氏は説明する。これを防ぐために、取引先のセキュリティ管理としてサプライチェーンリスクマネジメントが求められている。
調達から製造、在庫管理、流通、販売、消費の全てのサプライチェーンを管理することは実質不可能なので、影響が大きな部分、特に製造業においては調達部分における管理が重要となる。サプライヤーには、セキュリティ対策が十分かどうかをアンケートで調査するぐらいなのが実情だ。もしくは、サプライヤーを複数用意し、調達を安定させているところもある。それでも代えが利かないサプライヤーもあるだろう。
サプライチェーン攻撃の国内外の事例
関連記事
経済産業省が「企業に対するサイバー攻撃の特徴と今後の取り組みに関する報告書」を公開
経済産業省は、最近のサイバー攻撃の特徴や具体的事例と、今後の取り組みの方向性についての報告書を取りまとめた。サイバー攻撃が高度化しており、継続的なサイバーセキュリティ対策の点検が重要だとしている。
「『自組織が誰にどのような情報が狙われているか』を知る必要がある」 トレンドマイクロ
トレンドマイクロは「国内標的型分析レポート2021年版」を公開した。7つの標的型攻撃者グループによる攻撃を国内で観測し、サプライチェーンの弱点を悪用した攻撃を確認した。内部活動時の環境寄生型攻撃がより巧妙になっているという。
Fortinetは、VPNなどセキュリティ機器の脆弱性を狙う攻撃を減らす方法をどう考えているのか
セキュリティ人材不足、IT人材不足はたびたび指摘され、VPNなどセキュリティアプライアンスの脆弱性を狙った攻撃が近年頻発している。今の課題について「2022年クラウドセキュリティレポート」を基にFortinetに聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。